Qualys renforce l’automatisation de l’analyse des applications Web
Grâce à une nouvelle intégration avec la suite Open Source Selenium, les entreprises peuvent automatiser l’analyse des applications Web qui exigent une authentification complexe
Redwood City, Calif. - 6 décembre 2011 - Qualys®, Inc., le principal fournisseur de solutions à la demande pour la gestion des risques de sécurité informatique et de la conformité en mode SaaS, annonce une nouvelle version de QualysGuard Web Application Scanning (WAS) 2.1 qui s’intègre à Selenium pour aider les entreprises à automatiser encore plus l’analyse des applications Web qui nécessitent une authentification complexe.
L’un des défis des tests dynamiques de sécurité des applications (DAST) est la capacité à s’authentifier avec succès à l’application lors d’une analyse. La solution QualysGuard WAS 2.1 relève ce défi de manière unique en prenant en charge les scripts Selenium, ce qui lui permet d’optimiser les analyses d’applications Web authentifiées et d’identifier les vulnérabilités. Avec le plug-in Selenium (http://seleniumhq.org/projects/ide/), il est possible d’enregistrer les actions du navigateur Web et de les sauvegarder sous forme de scripts pouvant être relus ultérieurement. En s’appuyant sur Selenium, WAS 2.1 analyse de manière efficace les applications Web qui exigent une authentification complexe accompagnée de processus de connexion en plusieurs étapes.
« Les pirates motivés par l’appât du gain s’étant recentrés sur les applications, la sécurité des applications Web est devenue une priorité absolue. Cependant, la responsabilité de la sécurité des applications Web ne peut pas uniquement reposer sur la sécurité de l’information, » déclare Neil MacDonald, vice-président et associé de Gartner. « En effet, les entreprises doivent identifier les vulnérabilités des applications Web plus en amont du processus de développement et de la manière la plus transparente possible en utilisant des produits ou des services de test de sécurité des applications Web. »
Qualys a travaillé avec des clients tels que Daimler AG afin de trouver la meilleure solution pour enregistrer et relire les séquences d’authentification complexes requises par certaines applications Web. Daimler et d’autres clients Qualys utilisent l’outil Selenium pour enregistrer et relire les actions des utilisateurs dans un navigateur Web afin de tester les applications Web. En facilitant la relecture des scripts Selenium dans le scanner QualysGuard Web Application, Qualys s’appuie sur la technologie et l’expertise de ses clients pour offrir un moyen nouveau et puissant de réaliser des analyses authentifiées.
« Même si nous identifions et éliminons désormais les vulnérabilités avec efficacité sur les équipements réseau, il n’en va pas de même pour les applications Web qui sont devenues les principales cibles des cyber-attaques, » déclare Philippe Courtot, Chairman et CEO de Qualys. « Grâce à l’intégration du moteur Selenium à notre scanner d’applications Web QualysGuard dans le Cloud, des entreprises et société de conseils en sécurité peuvent maintenant automatiser pleinement la découverte des vulnérabilités dans les applications Web. »
Outre le support de Selenium, QualysGuard WAS 2.1 offre des fonctionnalités majeures dont :
- La prise en charge de certificats clients : désormais, WAS 2.1 prend en charge les certificats SSL clients requis par de nombreuses applications Web à haut risque. Dorénavant, il sera donc possible de télécharger les fichiers de certificats SSL clients qui seront ensuite utilisés par la solution WAS pour procéder à une analyse authentifiée. Ceci permettra d’étendre la couverture de l’analyse et d’augmenter le nombre de vulnérabilités identifiées au sein des applications Web.
- Black List des requêtes Post : grâce à ces listes noires, il est possible d’identifier les pages pour lesquelles il est déconseillé de soumettre des formulaires. Ceci évite les désagréments potentiels liés à la publication de formulaires tout en permettant d’évaluer la visualisation des pages pour vérifier la sécurité des vulnérabilités, ce qui augmente la couverture et réduit les risques de l’impact de l’analyse sur l’application.
- Support d’URL supplémentaires : WAS 2.1 étend sa couverture et permet d’entrer une liste de liens à analyser qui ne sont pas toujours liés à l’URL initiale.
Immédiatement disponible pour les clients basés aux États-Unis, QualysGuard WAS 2.1 sera à la disposition des entreprises européennes le 15 décembre 2011. Fournie sous la forme d’un abonnement annuel calculé d’après le nombre d’applications Web, cette solution comprend un support 24 heures sur 24, 7 jours sur 7 ainsi que des mises à jour complètes.
Pour plus d’informations sur QualysGuard WAS, rendez-vous sur le site de la communauté Qualys à l’adresse : https://community.qualys.com/community/qualysguard/was
À propos de Qualys
Qualys, Inc. est le principal fournisseur de solutions « à la demande » pour la gestion des vulnérabilités et de la conformité sous la forme de services (SaaS). Déployables en quelques heures seulement, partout dans le monde, les solutions SaaS de Qualys fournissent aux entreprises une vue immédiate et permanente de l’état de leur sécurité et de leur conformité. Actuellement utilisé par plus de 5000 entreprises dans 85 pays, dont 50 des 100 premières sociétés mondiales du classement établi par Fortune, le service QualysGuard® réalise plus de 500 millions d’audits IP par an. Qualys a opéré le plus important déploiement de ressources de gestion des vulnérabilités au monde au sein d’une société figurant parmi les premières entreprises mondiales du classement Fortune et a été reconnu par des analystes de premier plan pour son leadership sur le marché. Qualys a été nommée Meilleure entreprise de sécurité par le SC Magazine US en 2011.Qualys a signé des accords stratégiques avec des fournisseurs de services d’infogérance (« managed services ») de premier ordre et des cabinets de conseil tels que BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, NTT, SecureWorks, Symantec, Tata Communications et TELUS. Qualys est également l’un des fondateurs de la Cloud Security Alliance (CSA). Plus d’information sur www.qualys.com.
###
Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.
For all other matters
Contact: pr@qualys.com
Media Contact:
Tami Casey
Qualys
media@qualys.com